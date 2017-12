De aanval was gericht op een dienst die ClientPortal heet. Daarmee onderhoudt Fox-IT, gevestigd in Delft, contact met de computersystemen van klanten. De aanvallers onderschepten dat verkeer en stuurden het naar hun eigen servers. Dat heet een man-in-the-middle-aanval. Ook kregen ze kort de controle over mailsystemen van Fox-IT. Het is niet bekend hoeveel mails ze zo hebben binnengekregen.

De aanvallers konden het verkeer wegsluizen door in te loggen op een domeinregistratie van Fox-IT en daar een adres te veranderen. Ze hadden een wachtwoord nodig om daar voor in te loggen. Dat wachtwoord was volgens Fox-IT niet bij hen gestolen, maar mogelijk bij een ander. Het wachtwoord was in 2013 voor het laatst veranderd, 'omdat het zelden gebruikt werd'. Er was ook geen tweede bevestiging nodig bij het inloggen, iets wat wel nodig is om bijvoorbeeld geld over te maken, omdat die mogelijkheid niet bestond toen Fox-IT 18 jaar geleden voor de provider koos.